Κρίσιμες ενημερώσεις κώδικα ασφαλείας που εκδίδονται από τη Microsoft, την Adobe και άλλες μεγάλες εταιρείες λογισμικού
Η ενημέρωση της Microsoft για τον μήνα Μάρτιο έγινε επίσημα διαθέσιμη με 71 επιδιορθώσεις που εκτείνονται σε όλα τα προϊόντα λογισμικού της, όπως τα Windows, το Office, το Exchange και το Defender, μεταξύ άλλων.
Από τα συνολικά 71 patches, τα τρία βαθμολογούνται ως κρίσιμα και τα 68 είναι σημαντικά ως προς τη σοβαρότητα. Αν και κανένα από τα τρωτά σημεία δεν αναφέρονται ως ενεργά προς εκμετάλλευση, τρία από αυτά είναι δημόσια γνωστά από τη στιγμή της κυκλοφορίας.
Αξίζει να σημειωθεί ότι η Microsoft αντιμετώπισε ξεχωριστά 21 ελαττώματα στο πρόγραμμα περιήγησης Microsoft Edge που βασίζεται στο Chromium νωρίτερα αυτόν τον μήνα.
Και οι τρεις κρίσιμες ευπάθειες που διορθώθηκαν αυτόν τον μήνα, είναι ελαττώματα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζουν τις επεκτάσεις βίντεο HEVC (CVE-2022-22006), τον Microsoft Exchange Server (CVE-2022-23277) και τις επεκτάσεις βίντεο VP9 (CVE-2022-24501).
Η ευπάθεια του Microsoft Exchange Server, η οποία αναφέρθηκε από τον ερευνητή Markus Wulftange, είναι επίσης αξιοσημείωτη για το γεγονός ότι απαιτεί τον έλεγχο ταυτότητας του εισβολέα για να μπορεί να εκμεταλλευτεί τον διακομιστή.
"Ο εισβολέας για αυτήν την ευπάθεια θα μπορούσε να στοχεύσει τους λογαριασμούς διακομιστή σε μια αυθαίρετη ή απομακρυσμένη εκτέλεση κώδικα", δήλωσε ο κατασκευαστής των Windows. "Ως πιστοποιημένος χρήστης, ο εισβολέας θα μπορούσε να επιχειρήσει να ενεργοποιήσει κακόβουλο κώδικα στο πλαίσιο του λογαριασμού του διακομιστή μέσω μιας κλήσης δικτύου."
"Η κρίσιμη ευπάθεια CVE-2022-23277 θα πρέπει επίσης να αποτελεί ανησυχία", δήλωσε ο Kevin Breen, διευθυντής έρευνας για τις απειλές στον κυβερνοχώρο στο Immersive Labs. "Ενώ απαιτείται έλεγχος ταυτότητας, αυτή η ευπάθεια που επηρεάζει τους on-premise Exchange Servers θα μπορούσε ενδεχομένως να χρησιμοποιηθεί κατά τη διάρκεια της πλευρικής μετακίνησης σε ένα μέρος του περιβάλλοντος που παρέχει την ευκαιρία για παραβίαση επαγγελματικών email ή κλοπή δεδομένων από email."
Τα τρία σφάλματα zero-day που διορθώθηκαν από τη Microsoft είναι τα εξής:
- CVE-2022-24512 (βαθμολογία CVSS: 6,3) - Ευπάθεια εκτέλεσης κώδικα απομακρυσμένου κώδικα .NET και Visual Studio
- CVE-2022-21990 (βαθμολογία CVSS: 8,8) - Ευπάθεια εκτέλεσης κώδικα απομακρυσμένου προγράμματος-πελάτη απομακρυσμένης επιφάνειας εργασίας
- CVE-2022-24459 (Βαθμολογία CVSS: 7,8) - Υπηρεσίες φαξ και σάρωσης Windows Elevation of Privilege Vulnerability
Η Microsoft χαρακτήρισε επίσης το CVE-2022-21990 ως "Πιθανότερη εκμετάλλευση" λόγω της δημόσιας διαθεσιμότητας ενός exploit Proofof Concept (PoC), καθιστώντας ζωτικής σημασίας την εφαρμογή των ενημερώσεων το συντομότερο δυνατό για την αποφυγή πιθανών επιθέσεων.
Άλλα σημαντικά ελαττώματα είναι μια σειρά από ελαττώματα απομακρυσμένης εκτέλεσης κώδικα στο Windows SMBv3 Client/Server, το Microsoft Office και το Paint 3D, καθώς και ελαττώματα κλιμάκωσης προνομίων στο Xbox Live Auth Manager, το Microsoft Defender για IoT (Internet of Things) και το Azure Site Recovery.
Συνολικά, οι ενημερωμένες εκδόσεις κώδικα κλείνουν 29 ευπάθειες απομακρυσμένης εκτέλεσης κώδικα, 25 ευπάθειες ανύψωσης προνομίων, έξι ευπάθειες αποκάλυψης πληροφοριών, τέσσερις ευπάθειες άρνησης υπηρεσίας, τρεις ευπάθειες παράκαμψης χαρακτηριστικών ασφαλείας, τρεις ευπάθειες πλαστογράφησης και μία ευπάθεια παραποίησης.
Εκτός από τη Microsoft, ενημερωμένες εκδόσεις ασφαλείας έχουν κυκλοφορήσει και από άλλους προμηθευτές για τη διόρθωση αρκετών τρωτών σημείων, συμπεριλαμβανομένων:
- Adobe
- AMD
- Android
- Cisco
- Citrix
- HP
- Intel
- Juniper Networks
- Linux distributions Oracle Linux, Red Hat, και SUSE
- Mozilla Firefox και Firefox ESR
- SAP
- Schneider Electric
- Siemens